從百度事件愛你看域名安全
2010年1月12日���,由于美國域名注冊服務(wù)商 Register.com的重大疏忽,致使中國搜索引擎百度的域名解析遭到不法分子惡意篡改��,故障長達5個多小時����。這是自百度創(chuàng)建以來最大的斷網(wǎng)事故,使百度蒙受了巨大的經(jīng)濟損失��,百度CEO李彥宏更是在百度貼吧上連用多個“史無前例”表達感慨。
域名安全的問題常常易被企業(yè)忽視�。就如同空氣、水是人類維持生命所必需的要素����,當這些要素缺失的時候,將威脅到我們的生命安全����。不過這些要素在我們看來是理所當然就應(yīng)該存在的,所以常常被我們所忽略���。下面讓我們來看一下目前域名安全是怎樣的一個局勢:
現(xiàn)狀:域名安全事件頻發(fā)
域名安全的現(xiàn)狀不容樂觀�,針對各大網(wǎng)站的有目的性的攻擊一直沒有停止���。
去年1月12日早晨7時左右���,百度首頁出現(xiàn)大規(guī)模訪問故障,全球多處用戶無法訪問����。故障的原因是由于www.baidu.com 的域名在美國域名注冊商處被非法篡改���。經(jīng)過與黑客幾個小時的持續(xù)激戰(zhàn)�,百度技術(shù)人員最終奪回了域名解析控制權(quán)。據(jù)粗略推測���,持續(xù)數(shù)小時的故障使百度直接經(jīng)濟損失達700萬元���。
知名互聯(lián)網(wǎng)公司不止百度域名出問題。今年5月30日下午18:00����,騰訊網(wǎng)出現(xiàn)訪問故障,北京�、上海、廣州等地均出現(xiàn)網(wǎng)頁無法打開的情況�,持續(xù)長達40分鐘。騰訊宣稱斷網(wǎng)故障是因為出現(xiàn)了間斷的網(wǎng)絡(luò)波動異����,F(xiàn)象。業(yè)內(nèi)的一些專家則認為可能是騰訊的DNS出了問題從而導(dǎo)致了訪問故障�。
除了知名的互聯(lián)網(wǎng)公司,發(fā)生域名安全事件比較多的就是域名注冊商了��。最近比較大的一起事件發(fā)生在3月19日��,華夏名網(wǎng)DNS出現(xiàn)了嚴重故障。華夏名網(wǎng)是一個域名注冊商��,在該公司注冊并使用其域名解析服務(wù)的28萬域名解析異常��。國內(nèi)大部分企業(yè)在注冊了域名之后�����,域名注冊商會提供免費的域名解析服務(wù)�����,不過這種免費的解析服務(wù)質(zhì)量無法保障�,域名解析服務(wù)會經(jīng)常出現(xiàn)一些問題,多數(shù)情況是受到了DDOS攻擊����。
DDOS,即分布式拒絕服務(wù)攻擊(distributed denial of service )�,就是用超出被攻擊目標處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)、帶寬源���,致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段����。因利益和商業(yè)競爭的驅(qū)使,黑客入侵形成了由產(chǎn)品��、銷售到售后服務(wù)的黑色產(chǎn)業(yè)鏈�。與早期的DOS攻擊由單臺攻擊主機發(fā)起�,單兵作戰(zhàn)相比較,DDOS是借助數(shù)臺甚至數(shù)千臺被植入攻擊守護進程的攻擊主機同時發(fā)起的集團作戰(zhàn)行為���。在這種幾百甚至幾千對一的較量中��,被攻擊對象和網(wǎng)絡(luò)服務(wù)提供商所面對的破壞力空前巨大����。
引起網(wǎng)站斷網(wǎng)的域名安全威脅主要分為兩類�����,一是來自于外部的����,如針對域名服務(wù)器的DOS和DDOS攻擊、域名劫持�、緩存中毒等,而其中比較常見的就是DOS和DDOS攻擊。第二類安全威脅來自于企業(yè)內(nèi)部�����,主要是企業(yè)在管理方面存在的一些問題��,如企業(yè)自身數(shù)據(jù)更新錯誤��、域名解析服務(wù)系統(tǒng)的軟件漏洞���、服務(wù)體系架構(gòu)存在缺陷等等���,也會給攻擊者提供可乘之機。
原因:域名服務(wù)體系存在薄弱環(huán)節(jié)
根據(jù)中網(wǎng)發(fā)布的《2011中國域名服務(wù)及安全現(xiàn)狀報告》中的數(shù)據(jù)顯示:對國內(nèi)重要信息系統(tǒng)所涉及的域名抽樣統(tǒng)計發(fā)現(xiàn)����,57%的域名解析服務(wù)處于有風(fēng)險的狀態(tài),其中11.8%的域名因配置不當而處于較高風(fēng)險的狀態(tài)���。
完整的域名服務(wù)體系由遞歸域名服務(wù)系統(tǒng)(即本地域名服務(wù)器)�、根域名服務(wù)系統(tǒng)�����、頂級域名服務(wù)系統(tǒng)以及各級域名服務(wù)系統(tǒng)等四個層級構(gòu)成。我們訪問一個網(wǎng)站需要在全球網(wǎng)絡(luò)中完成對應(yīng)這四個層次的查詢���。任何一個層級發(fā)生故障�����,都將導(dǎo)致相應(yīng)范圍的網(wǎng)絡(luò)應(yīng)用癱瘓,大到國家和某個地區(qū)的網(wǎng)絡(luò)全面癱瘓��,小到單個網(wǎng)站無法訪問�����。
在這四個層級當中�,根和頂級域名的服務(wù)情況良好,二級和二級以下域名服務(wù)狀態(tài)比較差�。我們知道,域名服務(wù)體系最頂層是根���,根下面是頂級域�����。根與頂級域是由ICANN(The Internet Corporation for Assigned Names and Numbers�����,互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu))指定的一些專業(yè)機構(gòu)或公司進行管理�,如中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)負責管理.cn這個國家頂級域名,VeriSign公司負責管理.com域名����,因此根與頂級域名一般不會出問題。不過瑞典也曾經(jīng)因為數(shù)據(jù)出錯�����,而導(dǎo)致.se這個以瑞典國家為后綴的所有域名在互聯(lián)網(wǎng)上消失了���,這種情況比較少見����。
最容易出問題的就是二級和二級以下的域名���,安全事故一般都是圍繞這一級的域名發(fā)生��。擁有域名的企業(yè)常常采用兩種方式進行域名解析:一種方式是企業(yè)自己購置域名服務(wù)器進行域名解析���,另一種方式是托管�。在中國缺乏專業(yè)的第三方域名托管服務(wù)商�����,一般都使用由注冊商提供的����、沒有安全保障的、免費的域名解析服務(wù)���。
此外,遞歸域名解析環(huán)節(jié)也容易發(fā)生故障�,這個環(huán)節(jié)一旦出現(xiàn)問題,損失與影響都很大����。遞歸域名解析服務(wù)主要由ISP網(wǎng)絡(luò)接入服務(wù)商,如電信�、聯(lián)通和移動,以及一些中小ISP提供�����。“519斷網(wǎng)事件”發(fā)生之后����,運營商越來越重視這一環(huán)節(jié)的安全��,這部分的服務(wù)狀態(tài)會好一些�。
“519斷網(wǎng)事件”又被稱為“519暴風(fēng)門事件”����。5月19日21時起,南方六省出現(xiàn)嚴重網(wǎng)絡(luò)故障���,成為自2006年海底光纜斷裂以來最嚴重的一次大規(guī)模網(wǎng)絡(luò)堵塞事件��。事件起因源于暴風(fēng)影音的域名托管在免費的域名注冊商那里��,而這樣的域名服務(wù)商的服務(wù)器里可能為幾十萬域名提供解析服務(wù)�����。當時該服務(wù)商還托管著私服���,游戲公司之間的攻擊非常頻繁,導(dǎo)致暴風(fēng)影音的域名解析也因此受到了影響��。
有1.2億的用戶電腦上裝有暴風(fēng)影音的軟件����,暴風(fēng)影音軟件的部分在線服務(wù)功能必須基于baofeng.com域名的正常解析��,這些電腦同時發(fā)出對暴風(fēng)影音網(wǎng)站域名的解析請求的時候�,卻找不到解析服務(wù)器����。用戶電腦產(chǎn)生的巨量域名解析請求擁塞了為這些用戶提供服務(wù)的各地電信運營商的本地域名服務(wù)器,就會導(dǎo)致多個省份的本地域名服務(wù)器出現(xiàn)故障甚至無法提供正常服務(wù)�。
而后,這些本地域名服務(wù)器的其他互聯(lián)網(wǎng)用戶也無法上網(wǎng)�����,其實際效果相當于DDoS攻擊�����。暴風(fēng)影音稱其在此次事故中直接經(jīng)濟損失達238萬元人民幣;電信運營商則損失更大����,有文章推測六省加起來損失應(yīng)該過億元����。
